Amazon EC2: EC2 インスタンスにボリュームをアタッチまたはデタッチする - AWS Identity and Access Management

Amazon EC2: EC2 インスタンスにボリュームをアタッチまたはデタッチする

この例では、次のような IAM ポリシーを作成する方法を示します。 を使用すると、EBS ボリュームの所有者は指定された EC2 インスタンスにボリュームをアタッチまたはデタッチできます。インスタンスは、Condition 要素内の ARN で指定します。このポリシーでは、AWS API または AWS CLI からのみ、このアクションを実行するために必要なアクセス権限を付与します。 このポリシーを使用するには、ポリシー例の斜体プレースホルダーテキストを自分の情報に置き換えます。次に、「ポリシーの作成」または「ポリシーの編集」の手順に従います。

Amazon EC2 インスタンスは、インスタンスプロファイルにアタッチされている EC2 インスタンスの AWS サービスロールによって付与されたアクセス許可で AWS コマンドを実行できます。このポリシーをロールにアタッチするか、このステートメントを既存のポリシーに追加することができます。instance-id により特定されるインスタンスのみが、独自のものを含め、アカウントのインスタンスへボリュームをアタッチまたはデタッチできます。より大規模なポリシーに含まれる可能性のあるその他のステートメントの要素は、この 1 つのステートメントの制限によって影響を受けません。Amazon EC2 リソースへのアクセスをコントロールする IAM ポリシーの作成の詳細については、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「Amazon EC2 リソースへのアクセスのコントロール」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": [ "arn:aws:ec2:*:*:volume/*", "arn:aws:ec2:*:*:instance/*" ], "Condition": { "ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"} } } ] }